adowoMAC

Wir hatten vor allem Probleme mit IP Telefonen die nicht von Cisco hergestellt wurden. Media-Converter liefen hingegen von allen Herstellern. Ist also nicht optimal, erfüllt aber seinen Zweck.

Also das liegt scheinbar irgendwie am RADIUS Profil, da muss ich nachher nochmal fuxxen. Abgesehen davon sollen nun die Einwähler in eine bestimmte VRF-Instanz überführt werden. Die Kunden kommen ja über die E1 per ISDN rein und es wird dann eins der Serial Interfaces mit einem bestimmten Timeslot genutzt.

Der Kunde wählt sich beispielsweise auf das Interface Serial 0/0:1 ein, also auf dem Timeslot 1. Wie bekomme ich diesen Kunden nun in ein bestimmtes VRF? Ich kann die Seriellen Interface ja nicht bearbeiten (Cannot Access B-Channel Interfaces).

Jemand einen Tipp?

PS: Kann man ein Virtual-Template Interface anlegen, so dass erst bei der Einwahl ein Interface erstellt wird und dieses dann in das entsprechende VRF gelegt wird?

Das passiert über Phantomspeisung. Die Adern sind genauso belegt wie immer. Da brauchst du dir an sich keine sorgen machen. Ausserdem kannst du die PoE-Funktionalität Portweise deaktivieren

Auf die Radius-Logs habe ich keinen Zugriff. Das Radius-Profile sieht folgendermaßen aus:

blue_testuser User-Password = "test"

Service-Type = Framed,

Framed-Protocol = PPP,

Framed-IP-Netmask= 255.255.255.255,

Framed-MTU = 1500,

Idle-Timeout = 500,

cisco-avpair = "peer-ip-pool=bluepool",

cisco-avpair = "ip:vrf-id=blue",

Session-Timeout = 1000

Fehlt dort irgendwas was ich für authorization brauche?

Wenn ich mich anstatt über RADIUS mit lokalen Benutzern einwähle, dann klappt alles. Die Einwahlkonfiguration sollte also OK sein.

Habe das erste Problem gelöst. Es war ein RADIUS-Proxy und daher waren die Ports falsch. Jetzt habe ich aber ein neues Problem, der Benutzer wählt sich ein, wir gegen den RADIUS geprüft und bekommt ein Access-Accept. Nun das kuriose, direkt danach wird die Autorisierung abgewiesen:

28w2d: %LINK-3-UPDOWN: Interface Serial4/0:23, changed state to up
28w2d: Se4/0:23 PPP: Treating connection as a callin
28w2d: Se4/0:23 PPP: Phase is ESTABLISHING, Passive Open [0 sess, 0 load]
28w2d: Se4/0:23 LCP: State is Listen
28w2d: Se4/0:23 LCP: I CONFREQ [Listen] id 0 len 13
28w2d: Se4/0:23 LCP:    MagicNumber 0x22AD1519 (0x050622AD1519)
28w2d: Se4/0:23 LCP:    Callback 6  (0x0D0306)
28w2d: Se4/0:23 LCP: O CONFREQ [Listen] id 4 len 31
28w2d: Se4/0:23 LCP:    AuthProto PAP (0x0304C023)
28w2d: Se4/0:23 LCP:    MagicNumber 0x06C6A632 (0x050606C6A632)
28w2d: Se4/0:23 LCP:    MRRU 1524 (0x110405F4)
28w2d: Se4/0:23 LCP:    EndpointDisc 1 Local (0x130D014153353430302D6C6162)
28w2d: Se4/0:23 LCP: O CONFREJ [Listen] id 0 len 7
28w2d: Se4/0:23 LCP:    Callback 6  (0x0D0306)
28w2d: Se4/0:23 LCP: I CONFREJ [REQsent] id 4 len 21
28w2d: Se4/0:23 LCP:    MRRU 1524 (0x110405F4)
28w2d: Se4/0:23 LCP:    EndpointDisc 1 Local (0x130D014153353430302D6C6162)
28w2d: Se4/0:23 LCP: O CONFREQ [REQsent] id 5 len 14
28w2d: Se4/0:23 LCP:    AuthProto PAP (0x0304C023)
28w2d: Se4/0:23 LCP:    MagicNumber 0x06C6A632 (0x050606C6A632)
28w2d: Se4/0:23 LCP: I CONFREQ [REQsent] id 1 len 10
28w2d: Se4/0:23 LCP:    MagicNumber 0x22AD1519 (0x050622AD1519)
28w2d: Se4/0:23 LCP: O CONFACK [REQsent] id 1 len 10
28w2d: Se4/0:23 LCP:    MagicNumber 0x22AD1519 (0x050622AD1519)
28w2d: Se4/0:23 LCP: I CONFACK [ACKsent] id 5 len 14
28w2d: Se4/0:23 LCP:    AuthProto PAP (0x0304C023)
28w2d: Se4/0:23 LCP:    MagicNumber 0x06C6A632 (0x050606C6A632)
28w2d: Se4/0:23 LCP: State is Open
28w2d: Se4/0:23 PPP: Phase is AUTHENTICATING, by this end [0 sess, 0 load]
28w2d: Se4/0:23 LCP: I IDENTIFY [Open] id 2 len 18 magic 0x22AD1519 MSRASV5.10
28w2d: Se4/0:23 LCP: I IDENTIFY [Open] id 3 len 20 magic 0x22AD1519 MSRAS-0-FREE
28w2d: Se4/0:23 PAP: I AUTH-REQ id 56 len 27 from "blue_testuser"
28w2d: Se4/0:23 PAP: Authenticating peer blue_testuser
28w2d: RADIUS: ustruct sharecount=1
28w2d: RADIUS: Initial Transmit Serial4/0:23 id 18 xxx.xxx.xxx.xxx:1812, Access-Request, len 92
28w2d:         Attribute 4 6 D4066C27
28w2d:         Attribute 5 6 00004E37
28w2d:         Attribute 61 6 00000002
28w2d:         Attribute 1 15 626C7565
28w2d:         Attribute 30 9 33353037
28w2d:         Attribute 2 18 4D26A18D
28w2d:         Attribute 6 6 00000002
28w2d:         Attribute 7 6 00000001
28w2d: RADIUS: Received from id 18 xxx.xxx.xxx.xxx:1812, Access-Accept, len 85
28w2d:         Attribute 6 6 00000002
28w2d:         Attribute 7 6 00000001
28w2d:         Attribute 9 6 FFFFFFFF
28w2d:         Attribute 12 6 000005DC
28w2d:         Attribute 28 6 000001F4
28w2d:         Attribute 26 29 0000000901177065
28w2d:         Attribute 27 6 000003E8
28w2d: RADIUS: saved authorization data for user 64466B4C at 64466D68
28w2d: RADIUS: cisco AVPair ":peer-ip-pool=bluepool"
28w2d: Se4/0:23 PAP: O AUTH-NAK id 56 len 25 msg is "Authorization failed"
28w2d: Se4/0:23 PPP: Phase is TERMINATING [0 sess, 0 load]
28w2d: Se4/0:23 LCP: O TERMREQ [Open] id 6 len 4
28w2d: Se4/0:23 LCP: I TERMACK [TERMsent] id 6 len 4
28w2d: Se4/0:23 LCP: State is Closed
28w2d: Se4/0:23 PPP: Phase is DOWN [0 sess, 0 load]
28w2d: Se4/0:23 PPP: Phase is ESTABLISHING, Passive Open [0 sess, 0 load]
28w2d: Se4/0:23 LCP: State is Listen
28w2d: %LINK-3-UPDOWN: Interface Serial4/0:23, changed state to down
28w2d: Se4/0:23 LCP: State is Closed
28w2d: Se4/0:23 PPP: Phase is DOWN [0 sess, 0 load]

Woran zum Teufel kann denn das nun wieder liegen ;)

Hallo,

ich habe einen RADIUS-Server auf einem Einwahlserver eingetragen und bekomme von diesem nun keine Antworten. Folgendes Debugging habe ich bisher erhalten:

28w2d: RADIUS: Initial Transmit Serial4/0:7 id 4 xxx.xxx.xxx.xxx:1645, Access-Request, len 92

28w2d: Attribute 4 6 D4066C27

28w2d: Attribute 5 6 00004E27

28w2d: Attribute 61 6 00000002

28w2d: Attribute 1 15 626C7565

28w2d: Attribute 30 9 33353037

28w2d: Attribute 2 18 2B43137A

28w2d: Attribute 6 6 00000002

28w2d: Attribute 7 6 00000001

28w2d: RADIUS: Retransmit id 4

Er kann keine Verbindung aufbauen.

Das Serial4/0:7 Interface ist nicht das Interface, an dem indirekt der RADIUS hängt, sondern das Interface des eingehenden ISDN-Calls. Muss ich dem RADIUS-Server ein bestimmtes Interface angeben oder geht der ohnehin in die Routing-Tabelle des Gerätes um den RADIUS zu erreichen?

PS: Der RADIUS und der Einwahlserver sind IP-Technisch verbunden und können sich erreichen.

Hallo,

auf meinem Gerät kommen die Clients per ISDN-Einwahl rein und werden dort terminiert. Nun möchte ich aber, dass diese Clients dann in eine bestimmte VRF-Instanz reinkommen. Ist das möglich? Wenn ja, wie?

Folgerndermaßen kommst du an die Daten. Wenn du im Rommon bist, musst du mit folgender Prozedur ein BootImage auf den Router ziehen: ROM Monitor

Wenn du das gemacht hast bootest du den Router mit diesem Bootimage und kannst dann ganz normal die Config per TFTP auf deinen PC ziehen. Natürlich setzt es voraus, dass der Router noch funktioniert und das Bottimage laden kann.

Ich drücke dir die Daumen!

Hendrik

Hallo,

ich brauche mal eine Beschreibung, wie ich mittels VRF eine Art VPN aufbauen kann. Ich habe einen 1841er Router als zentrale und möchte nun jeweils einen anderen Router an die VRF-Instanzen anbinden.

Die Instanzen heissen texas und florida.

Wie muss ich nun die "Kundenrouter" konfigurieren, die direkt an das Interface fa0/0 bzw. fa0/1 angebunden werden, damit diese in das VRF kommen?

Config des zentralen Geräts:

Current configuration : 1128 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
ip vrf florida
rd 2:2
route-target export 2:2
route-target import 2:2
!
ip vrf texas
rd 1:1
route-target export 1:1
route-target import 1:1
!
no ip domain lookup
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 2
ip vrf forwarding texas
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 3
ip vrf forwarding florida
ip address 192.168.2.1 255.255.255.0
!
router ospf 1 vrf texas
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0
!
router ospf 2 vrf florida
log-adjacency-changes
network 192.168.2.0 0.0.0.255 area 0
!
!
!         
no ip http server
no ip http secure-server
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end

Das Bridge-Virtual-Interface (BVI) nutzt man dann, wenn man zwei Schnittstellen logisch zu einer zusammenfügen möchte. Hast du an deinem Router bspw. eine WLAN- und eine Ethernet-Schnittstelle, fügst du beide in die Bridge-Group 1 ein.

Anstatt die IP-Adresse auf dem WLAN- und dem Ethernet-Interface zu konfigurieren, tust du das nun auf dem Interface bvi 1.

Da nun beide Schnittstellen sozusagen die gleiche IP nutzen, können deine kabelgebundenen und kabellosen Clients auf gleiche Weise mit dem Router kommunizieren.

interface Dot11Radio0.1
bridge-group 1
!
interface fa0/0
bridge-group 1
!
interface bvi1
ip address 192.168.178.1 255.255.255.0
!

Hendrik

3548XL EN kann alle VLAN + VLAN-Trunking aber nur sehr eingeschränkt Private-VLANs.

Hendrik

Ich habe bereits (zu 98%) eine Anstellung und die Weiterbildung wird nebenberuflich passieren. Praxissemester ist auch weniger relevant, da ich zuvor eine duale Ausbildung mit langen Praxisphasen genossen habe.

Das UNI-Angebot endet nicht im nichts, es wird eine bereits bestehende Arbeit als Bachelor-Arbeit anerkannt.

Ja, die habe ich, darf ich aber nur begrenzt weitergeben.

Der Uni BSC besteht aus Algorithmen und DS II, Lineare Algebra, Datenbankpraktikum und eBusiness. Das ganze ist berufsbegleitend von Ende August 07 bis März 08 (keine Abschlussarbeit).

Das FH-Diplom geht von Oktober 07 bis Dezember 08 plus dreimonatige Diplomarbeit. Themen sind Groupware, CRM-Systeme, Statistik, Operation Research, Softwareengineering...

Niedersachsen. Kein Diplom oder Bachelor mit Abschluss der BA.Es stehen nur die beiden genannten Alternativen zur Auswahl.

Hallo,

ich habe an einer Berufsakademie 6 Semester Wirtschaftsinformatik studiert und bin im Juni voraussichtlich Wirtschaftsinformatiker (BA). Nun stehe ich vor der Entscheidung berufbegleitend eine weiterbildende Maßnahme zu machen:

Vollwertiger UNI-Bachelor Wirtschaftsinformatik ODER FH-Diplom Wirtschaftsinformatik. Ich habe leider noch keine Ahnung, welcher dieser beiden Abschlüsse hochwertiger ist.

Wenn jemand Ideen oder Anregungen hat, wäre ich sehr glücklich.

Hendrik

Wie du schon sagtest, mal eben so Dot1x zu implementieren ist wirklich schwierig :) Aber der Access-Point kann die ganz normalen Verfahren WEP bzw. WPA mit einem Pre-Shared-Key zu konfigurieren, den Key musst du dann aber auf alle Clients eintragen, die sich mit dem WLAN verbinden sollen.

Wenn du diesbezüglich Hilfe brauchst, lass es mich wissen.

Verstehe ich dich richtig? Du möchtest deine WLAN-Verbindung mit einem RADIUS-Server absichern, in dem die Profile hinterlegt sind.

Dann erwartest du, dass auf dem Client eine Anmeldemaske angezeigt wird? Ich bin der Meinung dass eine solche Funktionalität weder im Windows WLAN-Stack noch in WPA implementiert ist.

Eine Möglichkeit der Verbindung des Netzwerkzugangs über RADIUS wäre wohl die Nutzung von Zertifikaten auf dem Client (802.1x) mittels EAP-TLS o.Ä. Das wäre dann aber auf einer ganz anderen Ebene als WPA.

Wenn das doch gehen sollte, lasse ich mich natürlich gerne eines Besseren belehren.

Hendrik

Mach die Ausbildung! Das kann dir keiner mehr nehmen, du musst nicht re-zertifizieren und jeder weiß etwas damit anzufangen!

Edit: Dann viel Erfolg dabei!

Hendrik

Also ich will ja keine Eigenwerbung machen, in diesem Fall passt es aber gut. Ich habe mal ein Tutorial zu diesem Thema geschrieben. Ich weiss allerdings nicht, wie sehr sich mein Anwendungsfall auf deinen 35er übertragen lässt.

Vielleicht magste ja trotzdem mal reinschauen: tech.kahmann.net | Networking and IT Tutorials

Über eine Rückmeldung würde ich mich sehr freuen!

Hendrik

ip route 0.0.0.0 0.0.0.0 interface <waninterface>

Kleines Update:

Wie bekomme ich es hin, dass sich dort auch analoge Clients mit Modem einwählen können?

Hendrik

Hallo,

kann mir hier jemand sagen wie weit Cisco in der Integration bzw. Unterstützung von MPLS Point-to-Multipoint LSPs ist? Habe bisher nur Informationen von Juniper, bei Cisco kann ich leider nichts dazu finden.

Wenn noch jemand diesbezüglich weitere Informationen zu anderen Herstellern hat, würde ich mich sehr freuen.

Gruß, Hendrik

Wobei von den Kosten her ein Nutzen von mehreren Channels als Uplink wesentlich günstiger wäre als eine 10GE Lösung.

Naja aber dadurch, dass du das Clientnetz auf Gigabit umstellst, wird das Problem mit dem Engpaß ja nicht kleiner. Wenn du allerdings eh alle Ports auf Gigabit hast, bringen dir Gigabit Uplink Ports auch nicht mehr, als wenn du einen normalen Gigabit Trunk Port auf dem Switch nimmst und den Stack damit erstellst. :)

Eigentlich heissen die Uplink Ports nur dann Uplink Ports, wenn sie auch signifikant mehr Bandbreite haben als die anderen Switchports.

Hendrik